Ο Jio δεν φαίνεται να καταλαβαίνει τι είναι οι κωδικοί πρόσβασης και τώρα έχουν εκτεθεί ιδιωτικά δεδομένα

Όλοι προσπαθούν να βοηθήσουν στην καταπολέμηση του άσχημου κοροναϊού, και οι εταιρείες τεχνολογίας δεν αποτελούν εξαίρεση, ειδικά αυτές που έχουν μεγάλες βάσεις χρηστών. Η Reliance Joi, ένας από τους μεγαλύτερους παρόχους τηλεπικοινωνιών της Ινδίας, για παράδειγμα, κυκλοφόρησε πρόσφατα αυτό που ονόμασε «Symptom Checker». Έχοντας δει το εργαλείο, μάλλον θα πρέπει να επισημάνουμε ότι το όνομα που επέλεξε ο Jio μπορεί να είναι λίγο αισιόδοξο.

Εάν πιστεύετε ότι το εργαλείο θα ελέγξει κάπως τα συμπτώματά σας και θα καθορίσει εάν έχετε COVID-19 ή όχι, θα απογοητευόσασταν. Στην ουσία, το Jio's Symptom Checker είναι μια σειρά ερωτήσεων πολλαπλής επιλογής. Με βάση τις απαντήσεις σας, ένας αλγόριθμος καθορίζει εάν διατρέχετε χαμηλό, μεσαίο ή υψηλό κίνδυνο να πάρετε τη νόσο και σας παρέχει τις κατάλληλες συμβουλές. Μπορείτε να δημιουργήσετε έναν λογαριασμό και να "παρακολουθήσετε" τα συμπτώματά σας, αλλά αυτό συμβαίνει όταν πρόκειται για λειτουργίες.

Μην ξεχνάτε ότι δεν είναι χάσιμο χρόνου. Εκτός από το να σας πει πόσο μεγάλος είναι ο κίνδυνος, το Symptom Checker σας δίνει επίσης έναν αριθμό πόρων που μπορούν να είναι εξαιρετικά χρήσιμοι, ειδικά δεδομένης της πολυάριθμης ψεύτικης εκστρατείας και της παραπληροφόρησης σχετικά με την πανδημία. Θα πρέπει να γνωρίζετε το γεγονός, ωστόσο, ότι ένα διαδικτυακό εργαλείο δεν μπορεί να σας πει εάν η καταρροή σας προκλήθηκε από το κοινό κρυολόγημα ή από τον κοροναϊό. Όσοι από εσάς χρησιμοποιείτε το Joi's Symptom Checker πρέπει να γνωρίζετε ότι καταγράφονται ορισμένα από τα δεδομένα που εισάγετε.

Το Jio's Symptom Checker αποθηκεύει μερικές από τις πληροφορίες που εισάγουν οι χρήστες

Κάθε δοκιμή καταγράφεται προσεκτικά. Ως επί το πλείστον, οι πληροφορίες που διατηρούνται περιορίζονται στο φύλο, την ηλικία και εάν παρέχετε τις δικές σας απαντήσεις ή απαντάτε εκ μέρους ενός φίλου ή ενός συγγενή σας. Οι πληροφορίες για το λειτουργικό σύστημα του χρήστη και την έκδοση του προγράμματος περιήγησης καταγράφονται και αποθηκεύονται και, εάν επιτρέπεται, το Symptom Checker μπορεί να καταγράψει την ακριβή τοποθεσία του χρήστη. Όπως μπορείτε να φανταστείτε, τα αρχεία καταγραφής είναι ακόμη πιο λεπτομερή για εγγεγραμμένους χρήστες. Το Jio's Symptom Checker δεν φαίνεται να καταγράφει πληροφορίες προσωπικής ταυτοποίησης, αλλά είμαστε πολύ σίγουροι ότι τουλάχιστον μερικοί από εσάς αναρωτιέστε για ποιο λόγο χρειάζονται αυτές τις λεπτομέρειες.

Η αλήθεια είναι ότι οι πάροχοι υπηρεσιών πρέπει να παρακολουθούν ποιος χρησιμοποιεί τα προϊόντα τους και πώς, και δεν υπάρχει καμία αμφιβολία στο μυαλό κάποιου ότι τα στατιστικά στοιχεία χρήσης βοηθούν τους προγραμματιστές να εισαγάγουν βελτιστοποιήσεις απόδοσης και νέες δυνατότητες.

Το ερώτημα εδώ είναι εάν τα παραπάνω δεδομένα δείχνουν όλα ταιριάζουν στον όρο "στατιστικά χρήσης" και είμαστε πολύ σίγουροι ότι υπάρχουν άνθρωποι που θα υποστηρίξουν ότι δεν το κάνουν. Η υπόθεση του Jio για καταγραφή όλων αυτών των δεδομένων δεν βοηθάται από το γεγονός ότι οι χρήστες δεν προειδοποιούνται ρητά για αυτό.

Ο Jio θέτει τα δεδομένα των χρηστών σε κίνδυνο αφήνοντάς τα σε μια ανοιχτή βάση δεδομένων

Ίσως αναρωτιέστε πώς το γνωρίζουμε όλα αυτά, και δυστυχώς, η απάντηση είναι η πιο απογοητευτική λεπτομέρεια για ολόκληρη την ιστορία. Την 1η Μαΐου, ο ερευνητής ασφαλείας Anurag Sen, το ίδιο άτομο που αποκάλυψε τη διαρροή Paay πριν από μερικές εβδομάδες, βρήκε μια βάση δεδομένων η οποία, αποκάλυψε μια πιο προσεκτική επιθεώρηση, ανήκε στον Jio. Κοιτάζοντας μέσα, ο Sen βρήκε εκατομμύρια αρχεία που έχουν καταγραφεί από το Symptom Checker, με μερικά από αυτά να χρονολογούνται από τις 17 Απριλίου.

Αποδείχθηκε ότι ήταν ένας διακομιστής παραγωγής και τα αρχεία περισσότερων ατόμων που χρησιμοποιούν το εργαλείο προστέθηκαν σε πραγματικό χρόνο. Το χειρότερο από όλα, επειδή δεν προστατεύεται από κωδικό πρόσβασης, τα δεδομένα ήταν προσβάσιμα από οπουδήποτε στον κόσμο. Ο Anurag Sen επικοινώνησε αμέσως με τον Zack Whittaker της TechCrunch , ο οποίος ενημέρωσε τον Jio για τη διαρροή και η βάση δεδομένων σύντομα τραβήχτηκε εκτός σύνδεσης. Ένας εκπρόσωπος για τον πάροχο τηλεπικοινωνιών είπε στον Whittaker ότι ο Sen σκότωσε κατά λάθος έναν από τους «διακομιστές καταγραφής» της εταιρείας, ο οποίος τους βοηθούσε να παρακολουθούν την απόδοση του ιστότοπου. Αυτό που δεν είπε ο Jio ήταν γιατί αφέθηκε χωρίς κωδικό πρόσβασης.

Όπως είναι συνηθισμένο με τέτοιου είδους διαρροές, το να λέμε αν οι εγκληματίες στον κυβερνοχώρο κατάφεραν να φτάσουν στα δεδομένα πριν καταργηθούν δεν είναι πραγματικά δυνατό. Σε αυτήν την περίπτωση, οι εκτεθειμένες πληροφορίες δεν φαίνεται να είναι τόσο ευαίσθητες, αλλά δυστυχώς, το περιστατικό αποδεικνύει για δέκατη φορά ότι οι υπεύθυνοι για την αποθήκευση των δεδομένων των χρηστών δεν κάνουν πάντα πολύ καλή δουλειά.